System poziomów sprzedawców PCI DSS (Level 1-4) to fundament struktury wymagań compliance. Twój poziom determinuje, jakie obowiązki musisz spełnić: coroczny audyt QSA czy samoocena SAQ, kwartalne skany ASV czy nie, testy penetracyjne czy nie. Zrozumienie swojego poziomu i warunków jego zmiany jest kluczowe dla efektywnego planowania budżetu compliance.
Jak sieci kart klasyfikują sprzedawców
Sieci kart (Visa, Mastercard) klasyfikują sprzedawców na podstawie rocznego wolumenu transakcji kartą. Progi mogą się nieznacznie różnić między sieciami, ale ogólna struktura jest wspólna. Ważne: klasyfikacja jest obliczana osobno dla każdej sieci kart. Jeśli przetwarzasz 7 milionów transakcji Visa i 2 miliony Mastercard, jesteś Level 1 dla Visa i Level 2 dla Mastercard – co w praktyce oznacza stosowanie wymagań Level 1 dla całości.
Level 1: ponad 6 milionów transakcji rocznie
Level 1 to najwyższy poziom sprzedawców. Obowiązki: coroczny audyt przez akredytowanego QSA (Qualified Security Assessor) z wystawieniem Report on Compliance (ROC), kwartalne skany sieci zewnętrznej przez Approved Scanning Vendor (ASV), roczny test penetracyjny. Level 1 jest wymagany dla: sprzedawców z ponad 6 milionami transakcji rocznie (Visa) lub ponad 6 milionami (Mastercard), sprzedawców, którzy doświadczyli naruszenia danych kart (bez względu na wolumen).
Level 2: 1-6 milionów transakcji rocznie
Level 2 obejmuje sprzedawców przetwarzających od 1 do 6 milionów transakcji rocznie. Obowiązki: coroczna samoocena SAQ (bez wymagania audytu QSA, chyba że agent rozliczeniowy wymaga inaczej), kwartalne skany ASV. Ważna uwaga: Mastercard od 2012 roku wymaga od sprzedawców Level 2 potwierdzenia SAQ przez certyfikowanego ISA (Internal Security Assessor) lub QSA – co w praktyce zbliża wymagania Level 2 do Level 1 dla transakcji Mastercard.
Level 3 i Level 4: mniejsze wolumeny
Level 3: 20,000-1,000,000 transakcji e-commerce rocznie. Obowiązki: coroczna samoocena SAQ (odpowiedni typ w zależności od architektury). Level 4: mniej niż 20,000 transakcji e-commerce rocznie LUB mniej niż 1 milion transakcji łącznie. Obowiązki: coroczna samoocena SAQ (zgodnie z wymaganiami agenta rozliczeniowego). Dla Level 3 i 4, konieczność skanów ASV zależy od agenta rozliczeniowego – wiele wymaga ich dla wszystkich poziomów.
Jak tokenizacja wpływa na poziom i obowiązki
Tokenizacja nie zmienia bezpośrednio Twojego poziomu sprzedawcy – zależy on od wolumenu transakcji, nie od architektury. Jednak tokenizacja wpływa na wymagany SAQ: bez tokenizacji, SAQ D (329 wymagań). Z tokenizacją i hosted fields PCI Proxy EU, SAQ A (22 wymagania). Różnica w zakresie pracy jest ogromna – szczególnie dla sprzedawców Level 2, 3 i 4, którzy mogą kwalifikować się do SAQ A, drastycznie ograniczając koszty compliance.
Jaki jest Twój poziom PCI DSS i odpowiedni SAQ?
Nasi eksperci pomogą określić Twój poziom i optymalną ścieżkę zgodności z tokenizacją PCI Proxy EU.
Porozmawiaj z ekspertem